Protection des données et sécurité de l'information

En raison de leur importance primordiale dans un monde de plus en plus numérique, nous avons fait de la protection des données et de la sécurité de l'information une priorité absolue et avons mis en place des structures individuelles pour gérer ces sujets.

Protection des données

Chez SARIA, nous traitons les données de nos partenaires commerciaux et autres parties prenantes avec le plus grand soin et la plus grande sensibilité, quel que soit le lieu où nous exerçons nos activités. Étant donné que les exigences juridiques précises peuvent varier d'un pays à l'autre, nous avons mis en œuvre une approche décentralisée selon laquelle chaque unité organisationnelle internationale de SARIA protège l'intégrité juridique de ses données de manière indépendante.

Afin d'établir une structure de groupe cohérente, nous avons mis en place une organisation de protection des données comparable à notre structure de conformité d'entreprise. Nous avons créé un comité international de protection des données, composé des responsables locaux de la protection des données. Convoqué pour la première fois à l'automne 2022, le comité évalue les questions communes de protection des données du groupe, élabore des recommandations et des lignes directrices et suit une procédure de rapport détaillée

Un des piliers de notre gestion de la protection des données applicable à l'échelle internationale est notre politique de protection des données et de la vie privée du Groupe, qui est entrée en vigueur le 1er janvier 2023. Fondée sur l'intention de créer une approche concise et uniforme de la protection des données à l'échelle internationale, cette politique définit des obligations contraignantes en matière de gestion des données à caractère personnel ainsi que de nombreux contrôles, y compris le lancement de procédures d'établissement de rapports et d'audit.

Les « Data Protection Power Days 2022 » en Allemagne

Organisation internationale de protection des données

Conformément à l'approche décentralisée mentionnée précédemment, qui consiste à garantir le respect des lois nationales sur la protection de la vie privée au sein de chaque unité nationale, nous nous concentrerons ci-dessous sur les progrès réalisés au sein de l'unité organisationnelle en Allemagne.

Conformément à notre obligation légale de documenter les activités de traitement de nos caméras vidéo utilisées pour contrôler la sécurité de nos employés, nous avons effectué un audit approfondi de la surveillance par caméra vidéo en 2022. À la suite de cet audit, toutes les activités de traitement liées à la surveillance par caméra vidéo ont été dûment enregistrées dans notre dossier central au sein du système de gestion numérique de la protection des données.

De plus, un nouveau cadre juridique majeur permettant l'échange de données entre les entités juridiques respectives de SARIA en Allemagne a été adopté. Grâce à cet accord, nous serons désormais en mesure de minimiser notre dépendance à l'égard des accords individuels de protection des données dans le système de données de SARIA.

Pour compléter la création de structures et de procédures significatives de protection des données d'entreprise, nous avons concentré notre attention sur la formation de nos responsables de la protection des données. Afin d'atteindre l'ensemble de notre personnel allemand chargé de la protection des données, nous avons décidé d'organiser le programme de formation « Data Protection Power Days » en novembre 2022. Nous avons considéré qu'il était essentiel d'échanger des points de vue sous différents angles opérationnels et de fournir l'expertise de base appropriée en présentant certaines des exigences les plus pertinentes du règlement allemand sur la protection des données et des développements dans le domaine de la protection des données de l'UE.

En 2022, nous avons procédé à un audit approfondi de la surveillance par caméra vidéo.

La formation de notre personnel est un élément clé de notre gestion de la protection des données.

Compte tenu des réactions positives des stagiaires et de son succès pédagogique global, nous avons décidé de faire des « Power Days » un événement annuel régulier. En outre, en coopération avec notre service informatique, nous menons une campagne de sensibilisation aux attaques de phishing contre notre groupe. Cette campagne vise à renforcer la conformité de nos employés avec les procédures d'entreprise pertinentes et utilise des simulations d'attaques de phishing, c'est-à-dire des courriels qui tentent d'induire nos employés en erreur et de leur donner un faux sentiment de sécurité.

Pour mesurer nos performances en matière de protection des données, nous utilisons un système de mesure comprenant huit domaines de protection des données tirés du règlement général européen sur la protection des données. Nos progrès sont mesurés au moyen d'un modèle de maturité qui reflète les progrès réalisés dans chacun des huit domaines. Par rapport à l'année de référence 2020, nous avons réussi à améliorer constamment nos performances. En ce qui concerne les réalisations de 2021, nous avons réussi à nous améliorer de 6 %. Pour ce qui est des réalisations de 2022, nous avons encore progressé de 4 %. Pour ce qui est de l'avenir, nous avons pour objectif d'augmenter notre score global de maturité en matière de protection des données de 4 % supplémentaires en 2023.

Sécurité de l'information

Tout comme pour la gestion de la protection des données, nous combinons une approche décentralisée avec un échange régulier et une mise en commun de l'expertise par le biais de notre réseau de sécurité de l'information.

En principe, chaque unité organisationnelle définit ses propres domaines d'action pour garantir la sécurité de l'information, en tenant compte de l'expérience et de l'évaluation des risques du spécialiste informatique responsable, des connaissances de notre réseau de sécurité informatique et des résultats des audits internes ou externes, tels que l'audit de sécurité externe réalisé en Allemagne en 2022. En outre, il est important de réagir rapidement et de manière appropriée aux événements et aux influences externes.

Malgré ces différents domaines d'intervention, notre approche globale de la sécurité de l'information repose sur trois piliers : les mesures technologiques, organisationnelles et les actions de sensibilisation.

« La protection de nos ressources d'information est essentielle. C'est pourquoi nous nous efforçons de mettre en place une gouvernance solide en matière de cybersécurité, qui nous permet de gérer les risques de manière adéquate et d'être plus résilients. Par conséquent, nous menons chaque année une série d'initiatives visant à améliorer le niveau de cybersécurité dans notre organisation, afin de protéger de manière adéquate les informations de nos clients, employés et collaborateurs, ainsi que les systèmes de la chaîne d'approvisionnement, de sorte que nous puissions garantir le respect de nos engagements envers les clients et les tiers. »

Réseau de sécurité informatique

Tandis que notre objectif clair est une politique à tolérance zéro, nous sommes bien conscients qu'une garantie à 100 % n'existera jamais dans le domaine numérique. C'est pourquoi nous travaillons en permanence à l'amélioration de nos systèmes et nous étendrons et améliorerons encore nos efforts en 2023.

Les exemples suivants, tirés de notre organisation allemande, illustrent l'interaction systématique d'une variété d'instruments.

Gestion des mots de passe et sécurité de la messagerie électronique

En vue d'aider notre personnel à gérer la multitude de mots de passe nécessaires dans un environnement de travail moderne, un outil de gestion des mots de passe permet de gérer confortablement tous les différents mots de passe utilisés.

En même temps, nous essayons de faciliter les routines de travail et de protéger nos systèmes en mettant en œuvre des outils puissants pour filtrer les spams et les virus envoyés par la messagerie électronique.

Formation en ligne sur la sécurité de l'information

Pour sensibiliser tous les employés, un module de formation en ligne intitulé « Sécurité de l'information » est obligatoire pour notre personnel en Allemagne. Depuis 2022, tous les nouveaux employés y sont automatiquement inscrits.

Sécurité Active Directory et Authentification multifactorielle

Afin de protéger notre système contre les accès non autorisés, nous utilisons Azure Active Directory et la sécurité Active Directory comme systèmes d'autorisation centraux. La sécurité de ces systèmes est régulièrement validée par des audits externes et des tests de pénétration.

De plus, nous avons mis en place une authentification multifactorielle (MFA) résistante au phishing pour notre groupe, obligeant nos employés à effectuer une étape d'autorisation supplémentaire pour accéder à une grande variété de services.

Procédures et politiques

Nous introduirons des politiques et des procédures qui fourniront des orientations claires sur la manière de définir et d'utiliser les mots de passe, sur les raisons et le moment où les mots de passe doivent être réinitialisés automatiquement, et sur ce qu'il convient de faire lorsque nos systèmes sont piratés.

Détection et réponse étendues (XDR), Détection et réponse des endpoints (EDR)

Classiquement appelée « protection antivirus », cette mesure consiste à bloquer les menaces sur les appareils. Cependant, la question va désormais bien au-delà de la simple détection de virus : les programmes s'infiltrent dans les systèmes d'exploitation et surveillent toutes les actions sur les appareils afin de détecter et de bloquer tout comportement inhabituel ou indésirable de la part des programmes. À cette fin, XDR met en corrélation les données provenant d'appareils professionnels typiques, tels que les ordinateurs portables et les PC, avec les données du réseau et du cloud.

Fonction de sécurité des TI et renforcement du réseau interne de sécurité des IT

En réaction à l'importance croissante de ce sujet, nous avons mis en place une fonction dédiée à la sécurité des technologies de l’information (IT) au sein de notre organisation informatique et nous renforçons systématiquement la coopération et l'échange au sein de SARIA et dans l'ensemble du groupe RETHMANN.

Centre d'opérations de sécurité & gestion des informations et des événements de sécurité

Une équipe externe de spécialistes - appelée Security Operations Center (SOC) - nous soutiendra dans l'exploitation de nos composants de sécurité des TI en nous apportant des ressources et une expertise supplémentaires. Le SOC utilise notamment un système de gestion des informations et des événements de sécurité (SIEM) qui analyse les données provenant de diverses sources pour y déceler des schémas et des activités inhabituelles afin de signaler les anomalies dès le début et d'analyser ou d'éviter les menaces.

Sécurité du réseau

Dans le passé, il était fréquent de voir différents appareils, tels que des serveurs, des PC et des téléphones, reliés les uns aux autres au sein d'un même réseau. Cela permettait aux intrus de passer facilement d'un système à l'autre et de faire plus de dégâts. Pour se protéger contre de telles violations, nous introduirons des réseaux segmentés, dans lesquels tous les appareils sont regroupés selon leur importance ou leur fonction dans des réseaux IP différents. La communication entre eux n'est possible qu'à travers des pares-feux, qui n'autorisent qu'une connexion entre les appareils respectifs.

Accès au web sécurisé

L'accès au Web sécurisé garantit la sécurité lors de l'accès à l'internet. Par exemple, l'accès à des pages au contenu indésirable ou non autorisé peut être bloqué. En outre, le système vérifie la présence de virus et d'autres menaces potentielles.

/ Protection des données et sécurité de l'information